Higit sa 600,000 Router sa US ang Inalis ng Mahiwagang Cyber Attack

Mahigit sa 600,000 small office/home office (SOHO) router sa US ang na-render na inoperable sa isang cyber attack na ginawa ng mga hindi kilalang attacker, na nakakagambala sa internet access para sa maraming user. Ang makabuluhang kaganapang ito, na naganap sa pagitan ng Oktubre 25 at 27, 2023, ay tinawag na "Pumpkin Eclipse" ng Lumen Technologies Black Lotus Labs team. Ang pag-atake ay nag-target ng tatlong partikular na modelo ng router—ActionTec T3200, ActionTec T3260, at Sagemcom—na ibinigay ng isang undisclosed internet service provider (ISP).

Sa loob ng 72-oras na panahon ng pag-atake, ang mga nakompromisong router ay permanenteng nasira, na nangangailangan ng pagpapalit ng hardware. Ang insidenteng ito ay nagresulta sa pagkawala ng 49% ng lahat ng mga modem na nauugnay sa autonomous system number (ASN) ng ISP. Bagama't hindi opisyal na nakumpirma ang pagkakakilanlan ng ISP, ang Windstream ay pinaghihinalaang dahil sa isang kaukulang pagkawala at mga ulat ng user ng mga apektadong modem na nagpapakita ng "steady red light."

Sa sumunod na imbestigasyon ni Lumen, natukoy ang kalakal na remote access trojan (RAT) na tinatawag na Chalubo bilang salarin sa likod ng pag-atake. Ang Chalubo, na unang binanggit ni Sophos noong Oktubre 2018, ay kilala sa kakayahang mag-target ng iba't ibang SOHO/IoT kernel, magsagawa ng mga pag-atake ng DDoS , at magsagawa ng mga script ng Lua. Mukhang ginamit ng mga umaatake ang Chalubo para gawing kumplikado ang pagpapatungkol, sa halip na gumamit ng custom na tool. Ang eksaktong paraan na ginamit upang makakuha ng paunang pag-access sa mga router ay nananatiling hindi malinaw, kahit na maaaring may kinalaman ito sa mga mahihinang kredensyal o nakalantad na mga administratibong interface.

Kapag na-secure na ang pag-access, nag-deploy ang malware ng mga shell script upang i-download at ilunsad ang Chalubo mula sa isang external na server, kabilang ang isang mapanirang module ng script ng Lua. Ang pagtutok ng campaign na ito sa isang ASN ay hindi pangkaraniwan, dahil karamihan sa mga pag-atake ay nagta-target ng mga partikular na modelo ng router o karaniwang mga kahinaan, na nagmumungkahi ng sinadya at partikular na target, kahit na ang mga motibasyon ng mga umaatake ay nananatiling hindi alam.

Binigyang-diin ni Lumen ang hindi pa naganap na sukat ng pag-atake na ito, na binanggit na walang mga nakaraang insidente na nangangailangan ng pagpapalit ng mahigit 600,000 device. Ang isang maihahambing na kaganapan ay ang pag-atake ng AcidRain , na nauna sa isang aktibong pagsalakay ng militar , na binibigyang-diin ang kalubhaan at natatanging katangian ng insidente ng Pumpkin Eclipse.